ΜΤΝ Business: Μαθήματα ασφάλειας από το σκάνδαλο Panama Papers

Με αφορμή τη διαρροή μεγάλου όγκου πληροφοριών για εταιρείες, άτομα, γραφεία, διευθύνσεις και διαδικασίες μέσω των Panama Papers ο Αυγουστίνος Κωνσταντινίδης, Solutions Director της IBS, του επιχειρηματικού βραχίονα υπηρεσιών της ΜΤΝ, αρθρογραφεί για τα βασικά μαθήματα που πρέπει να πάρουν τα τμήματα ΙΤ των εταιρειών από το παγκόσμιο σκάνδαλο.

Ο κ. Κωνσταντινίδης τονίζει: «Με την πρόσφατη διαρροή από το δικηγορικό γραφείο στον Παναμά, δημοσιοποιήθηκαν 11,5 εκατομμύρια έγγραφα, συνολικού ύψους 2,6 terabytes δεδομένων. Οι δημοσιογράφοι συνεχίζουν και προσπαθούν να ταξινομήσουν και να βάλουν σε μια σειρα όλα αυτά τα εκατομμύρια έγγραφα και να δημοσιοποιήσουν όσο περισσότερες λεπτομέρειες μπορούν για το σύστημα που ονομάζεται φόρο-αποφυγή/απαλλαγή».

Παράλληλα, ο Αυγουστίνος Κωνσταντινίδης αναφέρει: «Λόγω της εμπειρίας μας με αρκετούς πελάτες όπως, επίσης, και η δωδεκάχρονη πείρα μας σε εταιρείες υπηρεσιών στην Κύπρο και στο εξωτερικό, με οδήγησαν να γράψω και να δημοσιεύσω αυτό το άρθρο, ώστε να παρουσιάσω βασικά βήματα που μπορεί να κάνει και να ακολουθεί ένα γραφείο/εταιρεία παροχής υπηρεσιών λαμβάνοντας υπόψη τα συμπεράσματα που μπορούν να διεξαχθούν από αυτό το γεγονός».

Μάλιστα, ο Solutions Director της IBS σημειώνει ότι: «Ο συνιδρυτής της Mossack Fonseca, Ramón Fonseca, έχει δηλώσει επίσημα ότι οι λόγοι που οδήγησαν στη διαρροή ήταν το απαρχαιωμένο (outdated) λογισμικό που χρησιμοποιούσαν το οποίο επέτρεψε, σε έναν ή πολλούς χάκερς, να διεισδύσουν στα συστήματά τους αρκετό καιρό πριν τη διαρροή. Αξίζει να αναφέρω ότι δεν υπάρχουν λεπτομέρειες για το πώς ή ποιο λογισμικό ήταν out of date αλλά σίγουρα δεν ήταν διαρροή από το εσωτερικό της εταιρείας όπως ισχυρίζεται ο πιο πάνω. Ενώ υπάρχει η δυνατότητα να έχει συμβεί το πιο πάνω, δεν παύει να υπάρχει η περίπτωση εσωτερικής διαρροής, που είναι και το πιο πιθανό σενάριο στη συγκεκριμένη περίπτωση».

Μάλιστα, τονίζει: «Οποιοδήποτε από τα πιο πάνω και αν ισχύει, σίγουρα ήταν λόγω κακών πρακτικών ασφαλείας, που επέτρεψαν, είτε στους χάκερς είτε σε έναν υπάλληλο, να διαρρεύσουν όλα αυτά τα εμπιστευτικά έγγραφα».

Εξάλλου, ο κ. Κωνσταντινίδης αναφέρει ότι δεν έχει σημασία πόσο μεγάλος ή μικρός οργανισμός είναι η εταιρεία σας. Αυτό που συμπληρώνει μάλιστα είναι ότι πρέπει να υπάρχουν κάποιες, βασικές –τουλάχιστον- δικλείδες ασφαλείας ούτως ώστε να αποφεύγονται τέτοια περιστατικά όσο το δυνατόν περισσότερο.

Οι βασικές πρακτικές που πρέπει να ακολουθούνται είναι οι εξής:

•    Μην αφήσετε το τμήμα μηχανογράφησης (IT department) χωρίς πόρους: Πάρα πολύ συχνά σε αυτές τις περιπτώσεις, το προσωπικό παραμένει δέσμιο των διευθυντικών στελεχών που δεν μοιράζονται αυτή την κατανόηση, αφήνοντας το προσωπικό IT χωρίς τους πόρους που απαιτούνται για την αποτελεσματική εκτέλεση των καθηκόντων τους. Μη αποτελεσματική εκτέλεση των καθηκόντων τους σημαίνει ότι τα υφιστάμενα συστήματα δεν θα αναβαθμίζονται έγκαιρα ή ακόμα δεν θα επενδύεται το απαραίτητο ποσό, ούτως ώστε να υπάρχουν τα σωστά και ασφαλή συστήματα στην εταιρεία.
•    Φιλτράρισμα ιστοσελίδων: Στο διαδίκτυο υπάρχουν οι περισσότερες απειλές. Μπορεί με ένα μικρό πρόγραμμα που απλώς θα πιέσετε ένα ΟΚ στην οθόνη σας, να δώσετε όλο τον έλεγχο του υπολογιστή σας σε ένα χάκερ, με αποτέλεσμα, από τον υπολογιστή σας να μπορεί να δει όλα τα έγγραφα της εταιρείας. Το φιλτράρισμα ιστοσελίδων θα βοηθήσει στο να μην σας αφήσει να ανοίξετε τέτοια ιστοσελίδα (malicious site) όπου περιέχει κακόβουλο κώδικα και έτσι να σας προστατέψει. Επίσης, φιλτράροντας τη χρήση του διαδικτύου μπορείτε να προστατευθείτε από κλοπή δεδομένων από το εσωτερικό της εταιρείας.
•    Προστασία από ιούς ή και κακόβουλο λογισμικό: Ακόμα και ένας υπολογιστής να υπάρχει στο δίκτυο με παλιό ή απαρχαιωμένο λογισμικό προστασίας, υπάρχει η πιθανότητα ένας υιός να εισέλθει στο δίκτυό σας και να καταστρέψει έγγραφα ή ακόμα και να καταστρέψει το ηλεκτρονικό ταχυδρομείο σας.
•    Απαρχαιωμένα προγράμματα (out of date software): Αρκετοί από εμάς έχουν την τάση να αμελούν ή ακόμα και να μην θέλουν να ξοδεύουν για αναβαθμίσεις των προγραμμάτων που χρησιμοποιούν. Όπως για παραδειγμα η αναβάθμιση των Windows ή οποιουδήποτε προγράμματος χρησιμοποιείτε στην εταιρεία σας. Αυτή η πρακτική είναι λάθος για τον λόγο ότι προγράμματα που δεν έχουν τα τελευταία updates είναι εύκολη λεία στους χάκερς.
•    Κρυπτογράφηση: Αρκετές εταιρείες υπηρεσιών, κυρίως, έχουν αντιληφθεί την αξία της κρυπτογράφησης. Η κρυπτογράφηση είναι ο μόνος τρόπος που μπορείτε εγγυημένα να προστατεύετε τα έγγραφά σας ή ακόμα και να ανταλλάσσετε ηλεκτρονικό ταχυδρομείο με ασφάλεια. Επίσης, σε περιπτώσεις που υπάρχουν φορητοί υπολογιστές ή και φορητές συσκευές πρέπει οπωσδήποτε τα δεδομένα της εταιρείας σε αυτές τις συσκευές να είναι κρυπτογραφημένα.
•    Συστήματα πρόληψης απώλειας δεδομένων: Τα τελευταία χρόνια, αρκετές εταιρείες έχουν αντιληφθεί την αξία των συστημάτων πρόληψης απώλειας δεδομένων (DLP – Data Loss Prevention). Αυτά τα συστήματα είναι η τεχνολογία και/ή το λογισμικό που αναπτύχθηκε για την προστασία και την πρόληψη της πιθανής απώλειας ή κλοπής δεδομένων. Υπάρχουν αρκετές δικλείδες ασφαλείας όταν υπάρχει σύστημα πρόληψης απώλειας δεδομένων.
•    Φορητές συσκευές: Σε όλες τις εταιρείες υπάρχουν χρήστες που χρησιμοποιούν φορητές συσκευές για εργασίες της εταιρείας. Αυτές οι συσκευές, εάν δεν ελέγχονται όπως και επίσης αν δεν υπάρχουν τα κατάλληλα policies από την εταιρεία, δημιουργούν μια τεράστια τρύπα σε σχέση με την ασφαλεια δεδομένων. Όταν μια εταιρεία παρέχει τη δυνατότητα στους υπαλλήλους να δουλεύουν εκτός γραφείου (ακομα και να βλεπουν τα emails τους στο κινητό) πρέπει να διαθέτει τα σωστά συστήματα ώστε να ελέγχει τα δεδομένα που βγαίνουν εκτός εταιρείας όπως και επισης να προστατεύει της συσκευές που είναι εκτός του δικτύου.